Charakterisierung und Überlegungen zu Phishing:
Phishing ist eine Form krimineller Aktivitäten, die Social-Engineering-Techniken einsetzt und sich dadurch auszeichnet, dass versucht wird, auf betrügerische Weise sensible Informationen wie Passwörter, Kreditkartennummern oder -daten, private persönliche Daten usw. zu erlangen. Dies geschieht durch die Vortäuschung der Identität einer vertrauenswürdigen Person oder eines Unternehmens/einer Institution in scheinbar offiziellen elektronischen Kommunikationsmitteln wie E-Mail (SMTP/POP3/IMAP4), Instant Messaging (IM/MSN/ICQ), dem Web (HTTP/HTTPS), Telefonie (Festnetz, Mobilfunk, VoIP/SIP-basiert, SMS, MMS) usw. Phishing hat sich zu einem rasant wachsenden Sicherheitsproblem entwickelt, und die Angriffe werden immer raffinierter. Bei einem typischen Angriff erhält das Opfer eine E-Mail, die scheinbar von einer vertrauenswürdigen Institution stammt. Diese E-Mail informiert das Opfer häufig über ein Problem mit seinem Konto (drohende Erschöpfung des E-Mail-Speichers, Ablauf des Passworts, möglicher Konto- oder Kreditkartenbetrug, Einbruchserkennung im durch einen Sicherheitsdienst geschützten Zuhause, Alarm in der Gesundheitseinrichtung usw.) und fordert sofortiges Handeln. Das Opfer wird über einen manipulierten Link auf eine Webseite weitergeleitet, die die offizielle Webseite der vertrauenswürdigen Institution, deren Identität vorgegaukelt wird, perfekt imitiert. Auf dieser Webseite erscheint dann ein Bildschirm, der das Opfer zur Eingabe von Benutzername, Passwort, persönlichen Daten usw. auffordert.
Es gibt zwei Varianten: (1) Passiv. Der Angreifer sammelt die Daten des Opfers, um sie später auszunutzen oder an Dritte zu verkaufen. (2) Aktiv. Der Angreifer leitet die Daten des Opfers an die legitime Institution weiter und plündert das Konto des Opfers in Echtzeit. Phishing kann über E-Mail (SMTP/POP3/IMAP4, VoIP), das Web (HTTP/HTTPS, Webmail, soziale Medien), Festnetz-/Mobiltelefonie, SMS/MMS usw. erfolgen. Phishing kann zum Identitätsdiebstahl (persönlich oder institutionell) eingesetzt werden, wobei sich digitale Identität auf eine natürliche Person, eine juristische Person (Unternehmen, Institution usw.) oder einen Computer/eine speicherprogrammierbare Steuerung in einer industriellen Umgebung oder kritischen Infrastruktur beziehen kann. Digitale Identität ist eine Reihe von Attributen, von denen sich einige im Laufe der Zeit ändern und andere von Dritten zertifiziert werden können. Beispiele hierfür sind Name und Nachname, Alter, Personalausweisnummer, Benutzerkennungen, medizinische Informationen, Authentifizierungsmethoden (traditionell oder föderiert) usw. Da es sehr schwierig, wenn nicht gar unmöglich ist, die verwendeten digitalen Daten zu löschen, neigen digitale Identitäten dazu, zu wachsen und niemals zu schrumpfen.
Phishing-Methoden
: Phisher nutzen verschiedene Techniken, darunter: (i) Verwendung visueller Elemente der gefälschten, vertrauenswürdigen Zielseite. (ii) DNS-basierte Tricks wie Trap-URLs: www.ebay.com.kr, www.ebay.com@191.175.114.32
(URLs mit @-Zeichen; der Browser leitet in diesem Fall auf die Adresse 191.175.114.32 um und verwendet dabei www.ebay.com als Namen. Die Seite wird geöffnet, obwohl sie nicht existiert), www.gooogle.com (falsch geschriebene URLs), www.ebay-members-security.com (gehört nicht zu www.ebay.com), Unicode-Angriffe und internationale Domainnamen. (iii) JavaScript-Angriffe. Beispielsweise wird ein gefälschtes Vorhängeschloss am unteren Rand des Browsers erzeugt, um den Eindruck einer SSL/TLS-Verschlüsselung zu erwecken, oder die URL in der Adressleiste wird manipuliert. (iv) Verwendung digitaler Zertifikate. Phisher können Zertifikate für Domains erlangen, die ihnen gehören. Zertifizierungsstellen machen mitunter Fehler. (v) Einsatz von CSS/XSS. Dies führt zu einer Umleitung des Nutzers. Einige fortgeschrittenere Phishing-Techniken basieren auf: (a) einer besseren Auswahl der Opfer. (b) sozialbewussten Angriffen, z. B. indem die E-Mail-Adresse so aussieht, als käme sie von einer dem Opfer bekannten Person. (c) kontextbezogenen Angriffen, z. B. durch den Empfang einer Nachricht wie „Ihr eBay-Gebot wurde gewonnen“ oder „Die Bücher auf Ihrer Amazon-Einkaufsliste sind im Angebot“. Aus Nutzersicht ergeben sich folgende Probleme: (1) Sicherheit ist für viele Nutzer zweitrangig. (2) Nutzer wählen schwache Passwörter, die leicht zu kompromittieren sind. (3) Nutzer können URLs, Domainnamen (insbesondere internationale mit kyrillischen, chinesischen, arabischen usw. Zeichen) oder PKI-Zertifikate (Public-Key-Infrastruktur) nicht analysieren. (4) Die Benutzer werden mit Warnungen und Pop-ups überschwemmt und ignorieren diese entweder (wodurch Man-in-the-Middle-Angriffe ermöglicht werden) oder werden getäuscht (wenn ein Pop-up mit der Warnung erscheint, dass Ihr Computer möglicherweise infiziert ist, klicken Sie schnell auf „Ja“, um ihn zu scannen; was Sie tatsächlich tun, ist, einen Trojaner herunterzuladen).
Anti-Phishing-Strategien
. Einige Anti-Phishing-Strategien sind: (1) Heuristiken. Zum Beispiel die Verwendung von Tools wie Spoofguard, Trustbar, eBay Toolbar, Spoofstick usw. Neuere Studien zeigen jedoch, dass Nutzer Warnungen von Toolbars ignorieren. (2) Modifizierte Passwörter. Zum Beispiel: (i) SSO (Single Sign-On). Hierbei müssen Nutzer einer einzigen Institution für alle ihre Passwörter vertrauen. Es besteht weiterhin ein Authentifizierungsproblem. Es ist fahrlässig, dass die gegenseitige Authentifizierung derzeit nicht in allen Kommunikationsinteraktionen verwendet wird. (ii) PwdHash. Ein akzeptabler Ansatz, aber anfällig für Pharming, DNS-Spoofing und Wörterbuchangriffe. (iii) OTP (Einmalpasswörter). Zum Beispiel Rubbelkarten, RSA SecurID, aber diese sind anfällig für aktive Man-in-the-Middle-Angriffe. (3) Ursprungsauthentifizierung. Zum Beispiel: Dynamic Security Skins, Passmark, Petname usw. Alle diese Ansätze setzen die Sorgfalt der Nutzer voraus; ein einziger Fehler kann zur Kompromittierung eines Kontos führen. Es ist entscheidend zu betonen, dass die Sicherheit nicht allein von fehlbaren Nutzern abhängen sollte. dass das System standardmäßig sicher sein muss und dass das Design robust gegenüber potenziellen Benutzerfehlern sein muss (Technologie sollte eingesetzt werden, um das Bewusstsein des Benutzers zu überwachen, unabhängig von seiner Rolle: Manager, Administrator, Vorgesetzter, Mitarbeiter, Gast usw.).
Einige Ziele der Phishing-Prävention sind: (1) Idealerweise soll sichergestellt werden, dass sensible/vertrauliche/persönliche Nutzerdaten nur den beabsichtigten Empfänger erreichen. (2) Praktisch soll verhindert werden, dass Phisher Benutzerkonten einsehen oder verändern, und die Effektivität von Angriffen soll reduziert werden. Um dies zu erreichen: (a) Fehlern entgegenwirken, indem Benutzerkonten auch bei Fehlern gesichert werden. (b) Mobile Geräte zur Einrichtung eines Authentifizierungsverfahrens verwenden, das der Benutzer nicht leicht preisgeben kann. (c) Schutz vor Man-in-the-Middle-Angriffen (MITM). (d) Abwehr von Keyloggern (Software und Hardware), z. B. durch die Verwendung virtueller Tastaturen/Mäuse und Erkennungs- und Entfernungstools wie Anti-Spyware-/Anti-Trojaner-Software. (e) Gegenseitige Authentifizierung sowohl zwischen Server und Benutzer als auch zwischen Benutzer und Server gewährleisten. (f) Abhängigkeiten von Browserschnittstellen vermeiden, da diese leicht angreifbar sind. Intrusion-Based Enterprise (IBE) kann eingesetzt werden. Identitätsbasierte Verschlüsselung (IBE) ist eine flexiblere Variante der Public-Key- oder asymmetrischen Verschlüsselung (PKI). Dabei wird die Identität des Nutzers (z. B. seine E-Mail-Adresse, Personalausweis-/Sozialversicherungsnummer, ein mit einem Steganogramm versehenes Foto, sein Echtzeit-Videochat, eine biometrische Probe usw.) anstelle seines öffentlichen Schlüssels (oder eines von einer Zertifizierungsstelle signierten digitalen Zertifikats) verwendet. In diesem Fall muss eine vertrauenswürdige Drittpartei die Identität des Nutzers in Echtzeit in seinen privaten Schlüssel umwandeln.
Methoden gegen Pharming:
Viele Phishing-Abwehrmechanismen basieren auf DNS. Pharming kann diese Abwehrmechanismen umgehen, indem der DNS-Cache manipuliert und/oder DNS-Antworten gefälscht werden. Das bedeutet: Wenn unser Browser beispielsweise die Adresse www.paypal.com anfordert, hat der Angreifer ihn dazu gebracht, mit einer IP-Adresse der von ihm kontrollierten Website zu antworten, etwa 138.6.6.6. Dynamisches Pharming stellt falsche DNS-Zuordnungen für einen vertrauenswürdigen Server bereit und verleitet den Benutzer so zum Herunterladen eines Schadprogramms. Zudem wird der Benutzer gezwungen, Inhalte vom echten Server herunterzuladen, indem temporär die korrekte DNS-Zuordnung bereitgestellt wird. Das Schadprogramm und die Inhalte haben denselben Ursprung.
Es gibt im Wesentlichen zwei Pharming-Techniken: (1) Viren/Malware/Schadcode in E-Mails. Eine harmlose (wenn auch verdächtige) E-Mail kann ein Bild enthalten, das beim Öffnen im E-Mail-Programm einen Virus auf den Computer herunterlädt. Dieser Virus überschreibt die Hosts-Datei (statische Namensauflösung), die normalerweise Standard-URLs (wie www.google.com) in vom Computer verständliche IP-Adressen (wie 132.45.13.7) übersetzt. Ein Computer mit einer gefälschten Hosts-Datei ruft die falsche Website auf, selbst wenn die URL korrekt eingegeben wird. (2) DNS-Poisoning (dynamische Namensauflösung). Dies ist die gefährlichste Bedrohung, da sie selbst mit den besten Antivirenprogrammen funktioniert. Sie verändert die Zuordnung zwischen Web-URLs/E-Mail-Adressen und IP-Adressen.
Pharming-Prävention:
Einige angewandte Techniken sind: (i) Server sollten eine zusätzliche Authentifizierungsebene einführen, um ihre Identität nachzuweisen und eine Vertrauensbasis zwischen Benutzer und Server herzustellen. Dies erfordert, dass die Website ein digitales Zertifikat von einer anerkannten Zertifizierungsstelle wie VeriSign/Izenpe erhält. Die meisten Webbrowser können bereits das Vorhandensein gültiger Serverzertifikate überprüfen. Das Problem liegt serverseitig. Einige Websites bieten bereits Zertifikate an; beim Besuch dieser Websites erscheint ein Dialogfeld, in dem der Benutzer gefragt wird, ob er dem Zertifikat vertrauen möchte. Stimmt der Zertifikatsname nicht mit der gewünschten Website überein, wird ein Problem erkannt und der Benutzer sollte die Seite verlassen. Möglicherweise wurde Ihre Zielwebsite (z. B. die URL Ihrer Bank) gehackt. Ist das Zertifikat gültig, wird es gespeichert, sodass sich der Benutzer beim nächsten Aufruf der korrekten Adresse anmelden kann. (ii) Weitverbreitete Nutzung von DNSSEC, das die Zuordnung von URL/E-Mail-Adresse zu IP-Adresse kryptografisch authentifizieren kann. Es bietet jedoch keinen Schutz vor DoS-/DDoS-Angriffen. Es gibt drei Varianten: (a) PK-DNSSEC. Es basiert auf asymmetrischer Public-Key-Kryptographie. (b) SK-DNSSEC. Es basiert auf symmetrischer Secret-Key-Kryptographie und verwendet in jeder Nachricht eine Nonce (einen einmaligen, flüchtigen Wert), um Replay-Angriffe zu verhindern. (c) Hybridansatz. Er kombiniert beide Technologien, und der DNS-Root-Zone-Server besitzt einen öffentlichen Schlüssel.
Schlussbetrachtungen
Unsere Forschungsgruppe beschäftigt sich seit über zwanzig Jahren mit der Synthese, Analyse und Bewertung von Schutzmechanismen gegen den Diebstahl vertraulicher/sensibler Daten mittels verschiedener kabelgebundener und drahtloser Netzwerkansätze.
Dieser Artikel ist Teil der Aktivitäten des thematischen Netzwerks LEFIS.
Literaturverzeichnis:
Areitio, J. „Information Security: Networks, Computing and Information Systems“. Cengage Learning-Paraninfo. 2010.
– Areitio, J. und Areitio, A. „New approaches in the analysis of firewall technology, an essential component for network security“. Conectrónica Magazine. Nr. 122. November 2008.
– Aycock, J. „Spyware and Adware“. Springer, 2010.
– Corby, MJ „Complete Guide to Preventing Data Loss“. CRC Press. 2011.
Autor:
Prof. Dr. Javier Areitio Bertolín – E-Mail:
Professor an der Fakultät für Ingenieurwissenschaften.
Leiter der Forschungsgruppe Netzwerke und Systeme. Universität Deusto.
Prof. Dr. Ana Areitio Bertolín – E-Mail:
Labor für Angewandte Informatik. Universität des Baskenlandes (UPV/EHU)
